Cisco a révélé une faille de sécurité critique dans ses logiciels IOS et IOS XE, présentant des risques de déni de service et d’exécution de code à distance via le protocole SNMP (Simple Network Management Protocol). Cette vulnérabilité de type “zero-day”, activement exploitée et identifiée sous le code CVE-2025-20352, obtient un score CVSS de 7,7. Le problème provient d’un débordement de pile dans le sous-système SNMP, permettant aux attaquants disposant de justificatifs valides d’envoyer des paquets spécialement conçus pouvant perturber le fonctionnement des appareils ou même en prendre le contrôle total. Avec des privilèges bas, les attaquants peuvent redémarrer les systèmes, provoquant des attaques par déni de service. Avec des privilèges élevés, ils peuvent exécuter du code arbitraire en tant que root, contrôlant potentiellement l’ensemble de l’infrastructure.
Les recherches indiquent qu’environ deux millions d’appareils Cisco dans le monde pourraient être vulnérables en raison des interfaces SNMP exposées, soulignant le risque significatif, d’autant plus que Cisco joue un rôle crucial dans les réseaux d’entreprise et les infrastructures critiques. Cisco confirme que la vulnérabilité est activement exploitée, les attaquants accédant à des comptes administrateur compromis. Sont concernés tous les appareils exécutant Cisco IOS ou IOS XE avec SNMP activé, à moins que des identifiants d’objet spécifiques ne soient exclus. Les appareils vulnérables incluent les commutateurs Meraki MS390 et Cisco Catalyst 9300 avec des versions logicielles antérieures, bien qu’une solution soit disponible dans la version IOS XE 17.15.4a.
Cisco souligne qu’il n’existe pas de solutions de contournement viables, seulement une atténuation qui exclut certains OIDs mais peut perturber la fonctionnalité SNMP. La solution structurelle consiste à installer les correctifs fournis par Cisco. Cette vulnérabilité fait partie d’une mise à jour plus large traitant quatorze problèmes de sécurité, dont huit avec des scores CVSS élevés. Les organisations sont exhortées à mettre à jour leurs appareils et à limiter l’accès SNMP aux utilisateurs de confiance. Étant donné l’exploitation active, l’ampleur de l’exposition et l’absence de solutions simples, cette vulnérabilité est considérée comme l’une des menaces les plus urgentes pour les environnements Cisco.
